Adaptive MFA 2026 : comment l’authentification basée sur le risque remplace l’authentification multifacteur standard
5 min de lecture
79 % des victimes d’usurpation d’e-mails professionnels avaient correctement mis en œuvre l’authentification multifacteur (MFA), et ont tout de même été piratés. La raison ? Le MFA standard constitue un obstacle unique, qui devient inutile une fois le jeton volé. L’authentification multifacteur adaptative (Adaptive MFA) évalue chaque tentative de connexion en temps réel et ajuste le niveau de sécurité en fonction du risque courant. NIS2 exige précisément cela : « des solutions d’authentification continue ». Voici ce qu’il y a derrière cette exigence et comment les grands fournisseurs la mettent en œuvre.
L’essentiel
- Microsoft bloque quotidiennement 600 millions d’attaques ciblant les identités – plus de 99 % d’entre elles reposent sur les mots de passe. Seuls 41 % des utilisateurs d’Entra Enterprise sont protégés par le MFA (Rapport Microsoft Digital Defense 2024).
- 79 % des victimes de BEC (Business Email Compromise) analysées avaient activé le MFA, mais ont été compromises via le vol de jetons (AiTM). Le MFA standard ne suffit plus (FRSecure Incident Response Report).
- L’article 21(2)(j) de NIS2 mentionne explicitement les « solutions d’authentification continue » – la base normative pour passer du MFA standard à l’Adaptive MFA.
- Microsoft Entra traite 40 To de signaux d’identité chaque jour pour prendre des décisions d’accès basées sur le risque (Microsoft Learn).
- Gartner prévoit qu’en 2027, plus de 90 % des transactions MFA reposeront sur des protocoles FIDO (Passkeys) (Gartner Market Guide 2025).
Ce qui distingue l’Adaptive MFA du MFA standard
Le MFA standard demande à chaque connexion le même second facteur, qu’il s’agisse d’un accès depuis un ordinateur de bureau habituel ou depuis une IP inconnue dans un autre pays. L’Adaptive MFA évalue, quant à elle, chaque tentative d’authentification en temps réel selon des signaux contextuels et ajuste dynamiquement le niveau de sécurité.
Les signaux analysés par le système : type et état du dispositif, localisation et réputation de l’IP, heure de la journée, comportement de l’utilisateur, contexte réseau. Un modèle d’apprentissage automatique calcule à partir de ces données un score de risque, déclenchant trois niveaux de réponse :
| Risikostufe | Signaux typiques | Réaction |
|---|---|---|
| Faible | Appareil connu, localisation habituelle, heure normale | Mot de passe ou Passkey suffisent |
| Moyen | Nouvel appareil, heure inhabituelle, réseau différent | Montée en puissance vers OTP, notification push ou biométrie |
| Élevé | Impossible Travel, IP compromise, anomalie de connexion | Blocage ou exigence d’un jeton matériel FIDO2 |
La différence essentielle : le MFA standard constitue une barrière unique. Une fois franchie (par exemple via le vol de jeton AiTM), l’attaquant dispose d’un accès libre jusqu’au timeout de session. L’Adaptive MFA avec Continuous Access Evaluation (évaluation continue de l’accès) peut révoquer les jetons en temps réel si le profil de risque change.
Microsoft Entra Conditional Access : la référence du marché
La solution Conditional Access de Microsoft est la mise en œuvre la plus répandue d’Adaptive MFA dans le segment entreprise. Selon Microsoft, le moteur de politiques d’Entra ID (anciennement Azure AD) traite plus de 40 To de signaux d’identité par jour.
Le système calcule deux scores de risque distincts : le User Risk (probabilité que le compte soit compromis) et le Sign-in Risk (probabilité qu’une connexion spécifique ne soit pas autorisée). Ces deux scores influencent la décision d’accès.
Exemples de configurations de politiques en pratique :
- Risque de connexion « Moyen » ou « Élevé » : imposer le MFA, même si l’appareil est connu
- Appareil non conforme (non-compliant) : bloquer l’accès, indépendamment du risque utilisateur
- Localisation de confiance + appareil géré : aucun MFA requis – la combinaison réseau et état de l’appareil suffit comme ancre de confiance
Okta, Auth0 et Cisco Duo : les alternatives
Okta Adaptive MFA (à partir de 6 USD par utilisateur/mois) analyse les appareils, le réseau, la localisation et le comportement des utilisateurs. Son moteur propriétaire ThreatInsight exploite des données issues de millions d’authentifications pour détecter les schémas d’attaque. Depuis le quatrième trimestre 2024, la fonction Identity Secure Posture Management permet d’imposer automatiquement le MFA pour les rôles critiques.
Auth0 (depuis 2021 filiale d’Okta, destinée aux scénarios d’identité client) fonctionne avec trois signaux de risque définis : NewDevice (connexion depuis un appareil inconnu au cours des 30 derniers jours), ImpossibleTravel (motifs de connexion géographiquement impossibles) et UntrustedIP (IP suspecte issue d’une base de données d’intelligence sur les menaces). Disponible uniquement dans le plan Enterprise.
Cisco Duo (dans les offres Duo Premier et Advantage) propose une sélection de facteurs basée sur le risque (Risk-Based Factor Selection) et une gestion des appareils mémorisés selon le risque (Risk-Based Remembered Devices). Particularité : le fingerprinting Wi-Fi via l’application Duo Desktop comme signal supplémentaire de localisation. Duo détecte également les attaques de type Push Harassment et Push Spray comme signaux de risque distincts.
« Sur 65 incidents BEC analysés, 79 % des victimes avaient correctement mis en œuvre le MFA – et ont tout de même été compromises, car leurs jetons de session ont été volés. »
– FRSecure Incident Response Report, 2025
NIS2 exige l’« authentification continue » : ce que cela signifie concrètement
L’article 21(2)(j) de NIS2 mentionne expressément : « l’utilisation de l’authentification multifacteur ou de solutions d’authentification continue ». Il ne s’agit pas d’une simple recommandation. Pour les environ 29 500 entreprises concernées en Allemagne, cela signifie que le MFA standard remplit la condition minimale, mais que l’Adaptive MFA avec évaluation continue répond à l’esprit de la loi.
L’ENISA (Agence européenne de la cybersécurité) précise : le MFA est obligatoire pour les comptes privilégiés, l’administration système et l’accès aux systèmes réseau et d’information. La responsabilité personnelle de la direction fait de ce sujet une priorité managériale.
Pourquoi le MFA standard échoue face aux attaques AiTM
Les attaques Adversary-in-the-Middle (AiTM) interposent un proxy entre l’utilisateur et la page de connexion. L’utilisateur s’authentifie correctement – y compris le MFA. Le proxy intercepte alors le jeton de session généré. À partir de ce moment, l’attaquant dispose d’une session valide et authentifiée.
Microsoft a signalé 147 000 attaques par réutilisation de jetons en un an – une augmentation de 111 %. Le problème : le MFA standard est une barrière unique. Après une authentification réussie, aucun contrôle supplémentaire n’est effectué jusqu’au timeout de session.
L’Adaptive MFA avec Continuous Access Evaluation (CAE) rompt ce schéma. Le système vérifie en continu si la session correspond toujours aux paramètres de risque initiaux. Si la localisation, l’appareil ou le comportement change, la session est immédiatement invalidée – et non pas après plusieurs heures ou jours.
Les solutions MFA résistantes au phishing (FIDO2/Passkeys) vont encore plus loin : les identifiants sont liés à un domaine. Un proxy ne peut pas les transférer, car l’échange cryptographique ne fonctionne qu’avec le domaine réel. Les attaques AiTM deviennent structurellement impossibles.
Comparatif des fournisseurs : ce que proposent les grandes plateformes
| Fonctionnalité | Entra ID | Okta | Duo |
|---|---|---|---|
| Politiques basées sur le risque | Oui (User + Sign-in Risk) | Oui (ThreatInsight) | Oui (Risk-Based Factor) |
| Impossible Travel | Oui | Oui | Oui |
| Évaluation continue de l’accès (CAE) | Oui (CAE) | Partiellement | Non |
| FIDO2/Passkeys | Oui | Oui | Oui |
| Vérification de l’état de l’appareil (Device Posture Check) | Intégration Intune | Posture en temps réel | Agent Duo Desktop |
Checklist pratique : mettre en œuvre l’Adaptive MFA
- Faire un état des lieux : quels systèmes utilisent quelle méthode d’authentification ? Quels comptes privilégiés utilisent uniquement mot de passe + OTP SMS ?
- Définir des politiques de risque : pour quelles applications et groupes d’utilisateurs la montée en sécurité (step-up authentication) doit-elle s’appliquer ? Au minimum : accès administrateur, consoles cloud, VPN.
- Activer des facteurs résistants au phishing : utiliser des clés de sécurité FIDO2 ou des Passkeys comme facteur principal pour les comptes privilégiés. Pas seulement comme option, mais comme obligation.
- Activer l’évaluation continue de l’accès (Continuous Access Evaluation) : dans Entra ID, activer CAE dans les politiques Conditional Access. Pour les autres, réduire la durée de vie des jetons au minimum.
- Configurer Impossible Travel : chaque plateforme dispose de seuils pour les connexions géographiquement impossibles. Les activer et les ajuster selon des schémas de déplacement réalistes.
- Mettre en place une surveillance : intégrer les événements de connexion basés sur le risque dans le SIEM. Ne pas se contenter de journaliser les motifs suspects, mais les alerter – la leçon de SIT s’applique aussi ici.
Conclusion : le MFA standard est nécessaire, mais insuffisant
Le MFA reste la mesure individuelle la plus importante contre les attaques ciblant les identités – Microsoft estime l’efficacité du MFA résistant au phishing à plus de 99 % contre toutes les attaques basées sur les mots de passe. Mais le MFA standard, sans évaluation de risque, reste vulnérable au vol de jetons et aux attaques AiTM. L’Adaptive MFA comble cette faille grâce à une évaluation continue du risque et à des niveaux de sécurité dynamiques.
NIS2 rend cette orientation contraignante : « solutions d’authentification continue » figure dans le texte de loi. Celui qui travaille encore avec un MFA statique remplit certes la condition minimale, mais pas l’esprit de la réglementation. La première étape : activer Conditional Access ou des politiques comparables pour les 10 % de comptes les plus privilégiés. Cela prend une après-midi de configuration et couvre 80 % du risque.
Questions fréquentes
Quelle est la différence entre l’Adaptive MFA et le MFA standard ?
Le MFA standard demande à chaque connexion le même second facteur. L’Adaptive MFA évalue en temps réel le risque de chaque tentative de connexion (appareil, localisation, comportement) et ajuste dynamiquement le niveau de sécurité. En cas de faible risque, un seul facteur suffit ; en cas de risque élevé, des facteurs plus robustes sont exigés, voire un blocage.
L’Adaptive MFA est-elle obligatoire sous NIS2 ?
L’article 21(2)(j) de NIS2 mentionne « l’authentification multifacteur ou des solutions d’authentification continue ». Le MFA standard remplit la condition minimale, mais « authentification continue » fait clairement référence à des méthodes adaptatives. L’ENISA précise : le MFA est obligatoire pour les comptes privilégiés, l’administration système et l’accès aux systèmes critiques.
Combien coûte l’Adaptive MFA ?
Microsoft Entra Conditional Access est inclus dans Entra ID P2 (à partir d’environ 9 EUR/utilisateur/mois). Okta Adaptive MFA coûte 6 USD/utilisateur/mois. Cisco Duo propose l’authentification basée sur le risque à partir de l’édition Advantage. Pour les entreprises déjà équipées de Microsoft 365 E5 ou Entra ID P2, Conditional Access est disponible sans coût supplémentaire.
L’Adaptive MFA protège-t-elle contre les attaques AiTM ?
Mieux que le MFA standard, mais pas complètement. L’évaluation continue de l’accès (CAE) peut révoquer en temps réel les jetons volés, au lieu d’attendre le timeout de session. Seuls les facteurs résistants au phishing (FIDO2/Passkeys) offrent une protection totale, car ils sont liés à un domaine et ne peuvent être transférés par un proxy.
Quel fournisseur est le meilleur pour l’Adaptive MFA ?
Dans les environnements centrés sur Microsoft, Entra Conditional Access est le choix naturel (intégration maximale, CAE). Pour les environnements multi-cloud ou multi-fournisseurs, Okta offre la plus large gamme d’intégrations. Cisco Duo se distingue dans les entreprises déjà équipées d’infrastructures Cisco. CrowdStrike Falcon ITP convient comme couche ITDR orchestrant les fournisseurs MFA existants.
Lectures recommandées par la rédaction
Plus d’informations sur le réseau MBF Media
- → cloudmagazin – Cloud, SaaS et infrastructure IT
- → Digital Chiefs – Stratégies pour les décideurs IT
- → MyBusinessFuture – Transformation numérique dans les PME
Source de l’image : Pexels / cottonbro studio (px:5474295)
